Ĉiu, kiu provis funkciigi virtualan maŝinon en la nubo, bone scias, ke norma RDP-haveno, se lasita malfermita, preskaŭ tuj estos atakata de ondoj de pasvortaj krudfortaj provoj de diversaj IP-adresoj tra la mondo.
En ĉi tiu artikolo mi montros kiel fari Vi povas agordi aŭtomatan respondon al pasvorta krudforto aldonante novan regulon al la fajroŝirmilo. Fido estas por kolekti, analizi kaj stoki nestrukturitajn datumojn, kiuj jam havas centojn da antaŭdifinitaj reagoj al diversaj specoj de atakoj.
En Quest InTrust vi povas agordi respondajn agojn kiam regulo estas ekigita. De la registro-kolekta agento, InTrust ricevas mesaĝon pri malsukcesa rajtigoprovo sur laborstacio aŭ servilo. Por agordi aldoni novajn IP-adresojn al la fajroŝirmilo, vi devas kopii ekzistantan kutiman regulon por detekti plurajn malsukcesajn rajtigojn kaj malfermi kopion de ĝi por redaktado:
Eventoj en Vindozaj protokoloj uzas ion nomatan InsertionString. (ĉi tio estas malsukcesa ensaluto al la sistemo) kaj vi vidos, ke la kampoj, pri kiuj ni interesiĝas, estas konservitaj en InsertionString14 (Nomo de Laborstacio) kaj InsertionString20 (Adreso de Fonta Reto). Kiam oni atakas de la Interreto, la kampo Nomo de Laborstacio plej verŝajne estos. estu malplena, do ĉi tiu loko gravas anstataŭi la valoron de Fonta Reto-Adreso.
Jen kiel aspektas la teksto de la evento 4625:
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Aldone, ni aldonos la valoron de Fonta Reto-Adreso al la eventa teksto.
Tiam vi devas aldoni skripton, kiu blokos la IP-adreson en la Vindoza Fajroŝirmilo. Malsupre estas ekzemplo, kiu povas esti uzata por tio.
Skripto por starigi fajroŝirmilon
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
Nun vi povas ŝanĝi la regulnomon kaj priskribon por eviti konfuzon poste.
Nun vi devas aldoni ĉi tiun skripton kiel respondan agon al la regulo, ebligi la regulon kaj certigi, ke la responda regulo estas ebligita en la realtempa kontrola politiko. La agento devas esti ebligita por ruli respondskripton kaj devas havi la ĝustan parametron specifita.
Post kiam la agordoj estis kompletigitaj, la nombro da malsukcesaj rajtigoj malpliiĝis je 80%. Profito? Kia bonega!
Kelkfoje malgranda pliiĝo okazas denove, sed tio estas pro la apero de novaj fontoj de atako. Tiam ĉio denove komencas malkreski.
Dum semajno da laboro, 66 IP-adresoj estis aldonitaj al la regulo de fajroŝirmilo.
Malsupre estas tabelo kun 10 oftaj uzantnomoj, kiuj estis uzataj por rajtigaj provoj.
uzantonomo
Nombro de
En procentoj
administranto
1220235
40.78
administristo
672109
22.46
surhavi
219870
7.35
tordita
126088
4.21
contoso.com
73048
2.44
administranto
55319
1.85
servilo
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
administranto
32377
1.08
sgazlabdc01
31259
1.04
Diru al ni en la komentoj kiel vi respondas al informaj sekurecaj minacoj. Kiun sistemon vi uzas kaj kiom oportuna ĝi estas?
Se vi interesiĝas pri vidi InTrust en ago, en la reago formularo en nia retejo aŭ skribu al mi en persona mesaĝo.
Legu niajn aliajn artikolojn pri informa sekureco:
(populara artikolo)
fonto: www.habr.com